Вірусологія - досить цікава та складни наука. Вивчення методик взлому та аналізу після цього - дуже хороший метод навчитись безпеці та методології налагодження безпеки.
Спробую розпочати цикл статей, з власного досвіду, який сподіваюсь допоможе комусь в розумінні та аналізі різноманітних систем.
Початок - на прикладі windows.
А далі - в залежності від своїх, а також Ваших побажань.

Ліричний вступ

Не люблю я windows


Знаю, дана система - переважаюча на ринку... І для бізнесу в ній створено всі можливі програмні продукти. І підтримка драйверів реалізована непогано, і знає її на банальному користувацькому рівні кожна собака.


Але не зважаючи на це - психологія роботи, відношення до користувача, а головне - наявність вірусів, та найнижчий серед усіх операційних систем рівень безпеки. І з цим я не можу миритись.


І про боротьбу з вірусами та частково безпеку я спробую сьогодні сказати кілька слів.

Що таке вінда?

Відповідь буде лише про недоліки. Нічого не можу з цим зробити, але переваг у вінди залишилось дуже мало, які можуть реально протистояти всім її недолікам.


На статтю мене "надихнула" недавня епопея боротьби з вірусами на моїй робочій станції.


І все би було добре, якщо б поряд не стояло дві робочих станції та сервера на "інородних" операційних системах(про них я не буду говорити). Скажу лише, що вони виконують аналогічну роботу, як і вінда - кількість файлів та різноманітних пристроїв, що проходять через них - аналогічна, але з безпекою проблем немає.


А вінда:

• встановлений ліцензійний хороший антивірус
• постійно стягуються та встановлюються останні сервіс-паки
• не запускається жодних лівих інтернет програм
• також не використовується Internet Explorer

І толку мало.


Є нюанс, з яким постійно зустрічається щодня дана робоча станція - в неї "вставляються" від 20-ти FLASH накопичувачів в день, які приносять замовники.


І що тільки не робилося - толку 0 - віруси лізуть і все тут. І саме головне - працюючи не від імені адміністратора, система заражається всерівно і заражається також і адміністративний профіль.

• Поганий антивірус? Сумніваюсь - перепробували велику кількість як легальних так і не зовсім варіантів - без толку!
• Погані користувачі? Також сумніваюсь - проблеми не тільки на моїй робочій станції.
• Погана система? Погоджусь!

Проблеми безпеки

Параметри за замовчуванням

В системі windows існує величезна проблема - система безпеки налагоджена в стандарті дуже погано і не створено жодних можливостей для забезпечення на користувачькому рівні рішень від небажаних програм та дій. Крім того важлива частина системи - реєстр - проініціалізований загальносистемно так, що будь-який користувач, навіть гість може певними засобами завалити систему. або внести в неї певні параметри, які забезпечать можливість запуску небажаних програм або скриптів під час завантаження користувача з підвищеними привілеями. Це стосується профіля Allusers.


Окремим пунктом є "автоматизм", який МС вважає "зручним". Ідея звичайно хороша - при вмиканні нового пристрою - запустити пов'язаний їз цим алгоримт. Але це добре для накопичувачів, в яких рівень довіри наближається до 100 відсотків.


А як бути в випадку, якщо це розповсюджений флеш-накопичувач, зовнішній диск, або навіть підмонтований мережево розшарений ресурс?


Вимкнути автозапуск? Правильно! Але як це зробити звичайному користувачу? В системі ХР(Віста) навіть нормального інструменту для цього немає.

Складність розуміння структури системи

• меню правої кнопки миші(в кожній з програм)
• інсталяція програм
• одноразовий виклик певних команд при перезавантаженні
• неймовірна кількість місць в реєстрі, звідки можна зробити виклик програми без відома користувача
• білі та чорні списки вебсайтів, яким довіряє користувач і яким недовіряє. Додати туди щось не складає проблеми.

І це ще не все.

Доступ заборонено

Думаю кожен користувач вінди час від часу отримував таке повідомлення. Чесно кажучи я взагалі не пригадую випадків, коли таке повідомлення виникало в справжньому випадку, коли заборона була потрібна(ну я не рахую тих випадків, які були викликані параметрами системи, заданими мною). В оносновному таке повідомлення виникало в випадку необхідності доступу до мережевого ресурсу на сусідній машині, або при необхідності інсталяції певного програмного забезпечення, яке вимагало адміністративних привілей і в даний момент існталяція відбувалась під профілем неадміністративного користувача в режимі Run as...(Запуск від імені іншого користувача).


А знаєте, як обобляють таке повідомлення "інші" ОС?

Вони виводять на екран вікно вводу логіна та пароля користувача, який має права. Зручно? Так! Безпечно? Так! А от чому саме безпечно? - Домашнє завдання Вам 8))))))).

Аналіз безпеки

Спробую навести приклад

Як можна навчитись створювати автозавантаження з якогось диска, що Ви записуєте?

В документації до Вінди про це мало що написано - більше в MSDN, який коштує великих грошей, або на сайті майкрософта, де частково це можна почитати(із великою кількістю помилок та застарілої інформації). Можуть в цьому допомогти також і спеціальні програми(стороннього виробника і не завжди безкоштовні), в яких може бути присутній певний варіант інтерфейсу до функцій автозавантаження, які надає вінда.


В прикладах, які описані на різноманітних вебсайтах - метод дуже хороший, але не завжди універсальний


В вірусології, де точно можна знайти найрізноманітніші методики автоматичного запуску, які точно працюють!

Класно, правда? Я описуюю тут технології вірусів, які мають перевагу над офіційною документацією розробників ОС. 

 Як можна проаналізувати зміни в системі?

Приклад. Встановили Ви якусь програму, що понастворювала в системі величезну кількість перехоплень викликів по правій кнопці мишки, додала колосальну функціональність до ОС зручними фічами, понастворювала велику кількість файлів, позакидала в автозавантаження себе і свої компоненти, пододавала велику кількість служб та драйверів тощо. Як все це побачити? Реально ж повзунок інсталяції дуже малоінформативний! Для цього в системі вінди немає user-friendly інструментів. А ті, що є - вимагають значних знань, на рівні адміністрування великих серверів windows. Я спробую показати на прикладі Microsoft management Console яким чином легком'які пропонують робити аналіз вже зроблених змін в системі(замість того, щоб не допустити цих змін).

Як можна відкотити зміни в системі?

Загалом в випадку вінди це або незручно, або дорого. Про один з методів відновлення роботоздатності вінди я писав раніше - Відновлення роботоздатності Windows.

Незручно

Незручно тим, що система сама не надає нормальних засобів для резервування даних на рівні користувача. Все, що є - це пафос. Хоча в прямих руках можна користуватись і цим. Крім того самі ці засоби створені коряво, і ними досить часто користуються віруси для внесення змін в систему.

Дорого

Для резервного копіювання потрібно мати подвійну ємність накопичувачів. А це прямі витрати. Хоча мабуть вінда - це єдина система, в випадку використання якої резервне копіювання насправді вигідне. Як мінімум економією часу.

Потрібно

І навіть дуже! В випадках, коли Ваша система для повної переінсталяції вимагає часу в районі тижня-місяця. Крім того врахуйте, що не всі віруси залишають цілісність Ваших даних. А зруйновані дані ніяка переінсталяція не відновить.


Хоча в більшості випадків достатньо зберігати копію найважливіших системних параметрів, з якими реально завантажитись на певному етапі.

Кроки

• Вимикаємо всі можливі автоматичні процеси в системі
• Змінюєм параметри реєстру з максимально можливим захистом
• Налагоджуєм права доступу до певних гілок реєстру
• Робим резервну копію головних параметрів
• Налагоджуєм політики безпеки
• Налагоджуєм права доступу до важливих файлів на файловій системі(NTFS)
• З допомогою MMC робимо збереження налагоджених параметрів для аналізу в майбутньому

Але про ці кроки - в майбутніх статтях